Defiantはこのほど、「Age Gate <= 3.5.3 - Unauthenticated Local PHP File Inclusion via 'lang'」において、WordPressのコンテンツ年齢制限プラグイン「Age Gate」から緊急の脆弱性が発見されたと報じた。
この脆弱性を悪用されると、認証されていないリモートの攻撃者に機密データの窃取または任意のコードを実行される可能性がある。
脆弱性の情報
脆弱性の情報(CVE)は次のとおり。
- CVE-2025-2505 - 制限ディレクトリの不適切な制限の脆弱性。認証されていないリモートの攻撃者は、サーバ上の任意のPHPファイルを読み込み実行することができる。その結果、アクセス制御の回避、機密データの窃取、ファイルのアップロードとその読み込みにより任意のコードを実行できる可能性がある(CVSSスコア: 9.8)
脆弱性が存在する製品
脆弱性が存在するとされる製品およびバージョンは次のとおり。
- Age Gate 3.5.3およびこれ以前のバージョン
脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
- Age Gate 3.5.4
影響と対策
コンテンツ年齢制限プラグイン「Age Gate」は4万サイト以上にインストールされている人気のWordPressプラグインだ。執筆時点におけるダウンロード数の推移から、7割以上のWebサイトが脆弱なバージョンを運用しているものとみられる。
発見された脆弱性の深刻度は緊急(Critical)と評価されており注意が必要。当該プラグインを利用しているWordPressサイトの管理者には、速やかにプラグインをアップデートすることが推奨されている。